Журнал "Information Security/ Информационная безопасность" #5, 2023

вая оценка угрозы. Так, в R-Vision TIP реализована скоринговая модель, кото- рая автоматически рассчитывает оценку индикаторов компрометации по различ- ным критериям и приоритетам, а также дает пользователю возможность управ- лять настройками оценки. Поскольку актуальность IoC со временем теряется, его рейтинг также должен снижаться – именно для этого в модели используется настраиваемый коэффициент устарева- ния. Инструменты анализа Работа TI-аналитика не заканчива- ется на сборе и обогащении IoC. Для полного понимания потенциальной угрозы и вероятного вектора атаки необходимо провести анализ IoC, изучить отчеты, оценить влияние всех связанных с атакой сущностей, разо- браться с используемыми методами, уязвимостями и ВПО. Одним из важных вспомогательных инструментов аналитика является база знаний MITRE ATT&CK ® , с помощью которой можно изучить TTP (техники, тактики и процедуры), используемые злоумышленниками для реализации атаки, и понять их мотивацию. Для удобства пользователей и более эффективной работы с базой знаний MITRE ATT&CK ® в R-Vision TIP реали- зована интеграция с матрицей MITRE ATT&CK ® . Это позволяет платформе автоматически определять связи конеч- ных индикаторов компрометации с тех- никами и тактиками, используемыми хакерами, а также дает возможность из рабочего пространства платформы перейти по ссылкам на информацион- ные ресурсы, где описаны случаи использования определенных техник злоумышленниками, и воспользоваться рекомендациями по их обнаружению. Сопоставление наблюдаемых угроз в инфраструктуре организации с опи- санными TTP в MITRE ATT&CK ® помо- гает в атрибуции инцидента к опреде- ленной группе или типу атаки, а также выявить слабые места в эксплуатируе- мой системе защиты. Для удобства пользователя в продукте есть визуали- зация связей на графе, что помогает быстрее оценить этапы атаки, сформи- ровать подход к реагированию на инци- денты и приоритизировать принимае- мые меры защиты. С помощью графа аналитик может не только исследовать связи между сущностями, но и пони- мать, какие именно техники и тактики могут использоваться для реализации конкретной угрозы, в том числе и каки- ми именно группировками. Интеграция Threat Intelligence с системами ИБ Как уже отмечалось, платформенное решение TI позволяет автоматизировать и интегрировать Threat Intelligence в дру- гие системы ИБ. Интеграция платформы TI с различ- ными системами ИБ расширяет потен- циал практического применения данных киберразведки для защиты инфра- структуры, дает возможность не только находить следы хакеров в логах собы- тий, но и пользоваться данными TI за пределами платформы, а также повы- шает скорость реагирования на инци- денты. Рассмотрим несколько конкрет- ных примеров. Использование TIP c SIEM-системами помогает решить задачу обнаружения признаков вредоносной активности внут- ри событий инфраструктуры организа- ции. Поскольку платформа TI может анализировать логи, получаемые от SIEM, и выполнять поиск индикаторов компрометации в режиме реального вре- мени и в исторических данных, такой подход обеспечивает снижение нагрузки с SIEM и повышает эффективность обна- ружения за счет использования гибких фильтров и подключенных инструментов аналитики. R-Vision TIP поддерживает работу с различными популярными вендорами SIEM, включая отечественных, позволяет вести обнаружение в событиях от нескольких SIEM параллельно, в том числе и в территориально распределен- ных системах, без потери данных даже в случае обрыва соединения. При обнаружении индикаторов ком- прометации у специалистов ИБ возни- кает естественная потребность в обра- ботке найденной информации и реаги- ровании на нее. Для этого TIP передает данные об обнаружении в SOAR, где регистрируется инцидент, а полученная от платформы информация используется для принятия ответных мер и имплемен- тации сценариев реагирования. Кроме того, пользователь SOAR может сам инициировать запрос на обогащение данных в TIP по открытому инциденту из других источников. Помимо этого, на основе проведенного самостоятельно анализа или следуя рекомендациям из внешнего отчета, платформа R-Vision TIP дает возмож- ность формировать черные списки инди- каторов компрометации и экспортиро- вать их в СЗИ для блокировки, тем самым обеспечивая превентивную защи- ту от потенциальных угроз. Для обмена данными киберразведки используются не только популярные фор- маты передачи информации типа JSON, CSV, TXT, но и специализированные форматы обмена данными TI – STIX и TAXII. В силу того, что в ИТ-инфраструк- турах используется большое количество систем различных вендоров, важно, чтобы платформа TIP не ограничивалась одним поддерживаемым форматом, а имела гиб- кость для интеграции со множеством систем как для импорта, так и экс- порта данных. Можно заметить, что работа с данны- ми TI имеет логическую последова- тельность процессов: агрегация и хра- нение данных, нормализация, обога- щение, ранжирование индикаторов ком- прометации, анализ отчетов, угроз и взаимосвязей, поиск признаков вредо- носной активности в инфраструктуре, информирование об обнаруженных угрозах, формирование блек-листов для блокировки потенциально опасных IoC на СЗИ, рассылка информационных бюллетеней. TIP позволяет обеспечить пользователя платформы инструмен- тами для работы на каждом этапе про- цесса и реализовать конвейерный под- ход в работе с данными TI по всему циклу. В условиях большого объема задач, данных, сжатых сроков и постоянно меняющихся приоритетов сокращение времени, необходимого для выполнения операционной рутины, имеет крайне важное значение. И, как правило, дости- гается за счет автоматизации процессов. В R-Vision TIP правила автоматизации распространяются на каждый модуль платформы, а в комплексе минимизи- руют участие пользователя в полном цикле, от сбора и обогащения данных до обнаружения, оповещения и экспорта списка IoC на СЗИ. Использование гиб- ких фильтров в автоматизации позво- ляет произвести тонкую настройку поиска в потоке событий и экспорта индикаторов компрометации по множе- ству атрибутов, будь то рейтинг, отрасль, страна, тактики MITRE ATT&CK ® или связанное ВПО. Таким образом, анали- тик не только экономит собственное время, но и повышает точность выборки данных. Несмотря на непрерывное совершен- ствование технологий и технических средств защиты информации, кибер- преступники не остаются в стороне и про- должают развивать свои подходы к реа- лизации атак. В то же время рост цен- ности данных стимулирует высокие тре- бования к их защите. Сегодня сложно представить эффективную защиту инфраструктуры, опирающуюся только на реактивные средства реагирования. Направление Threat Intelligence расши- ряет методы борьбы с киберпреступ- ностью благодаря разностороннему ана- лизу угроз, а знания о способах реали- зации продвинутых атак и о пользе от их применения в превентивной защите сложно переоценить. Платформенный подход к ведению киберразведки позволяет оптимизиро- вать путь от сбора и анализа данных до интеграции Threat Intelligence в про- цессы ИБ. l • 31 SOC И TI www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ R-VISION см. стр. 70 NM Реклама